Исследователи из Google Threat Analysis Group (TAG) обнаружили, что российская хакерская группа APT29, также известная как Midnight Blizzard и Cozy Bear, использует эксплоиты для iOS и Android, разработанные коммерческими производителями шпионского программного обеспечения. Эта информация проливает свет на новые тактики, применяемые известными кибергруппировками, и подчеркивает растущую сложность ландшафта кибербезопасности.
Серия атак на правительственные сайты Монголии
По данным TAG, APT29 провела серию атак с ноября 2023 года по июль 2024 года, нацеленных на несколько правительственных сайтов Монголии. Хакеры использовали технику «watering hole» («водопой»), внедряя вредоносный код на легитимные веб-сайты и ожидая, пока пользователи с определенными характеристиками посетят их.
Хронология и детали атак
В ноябре 2023 года APT29 взломала монгольские правительственные сайты cabinet.gov[.]mn и mfa.gov[.]mn, добавив вредоносный iframe для эксплуатации уязвимости CVE-2023-41993 в iOS WebKit. Этот эксплоит был идентичен тому, который использовала компания Intellexa в сентябре 2023 года, когда уязвимость еще была 0-day.
В феврале 2024 года группа атаковала еще один правительственный сайт Монголии (mga.gov[.]mn), используя тот же эксплоит. В июле 2024 года APT29 применила эксплоиты для уязвимостей CVE-2024-5274 и CVE-2024-4671 в Google Chrome, чтобы атаковать пользователей Android, посещающих сайт mga.gov[.]mn.
Связь с коммерческими разработчиками шпионского ПО
Исследователи TAG отмечают, что эксплоиты, использованные APT29, практически идентичны тем, которые применялись в коммерческих шпионских решениях, созданных такими компаниями, как NSO Group и Intellexa. Это вызывает вопросы о том, как APT29 получила доступ к этим эксплоитам.
Возможные сценарии получения эксплоитов
Эксперты TAG предполагают несколько возможных сценариев:
- Взлом поставщиков коммерческого шпионского ПО
- Вербовка или подкуп сотрудников этих компаний
- Прямое сотрудничество с компаниями или через посредников
- Приобретение эксплоитов у брокеров уязвимостей, ранее продавших их NSO Group и Intellexa как 0-day
Последствия и значение для кибербезопасности
Использование APT29 эксплоитов, созданных коммерческими разработчиками шпионского ПО, подчеркивает растущую сложность и взаимосвязанность мира кибербезопасности. Это также поднимает вопросы о роли коммерческих производителей шпионского ПО и потенциальных рисках, связанных с распространением их продуктов.
Данный инцидент демонстрирует необходимость усиления международного сотрудничества в области кибербезопасности и разработки более строгих правил контроля за распространением и использованием шпионского ПО. Организациям и правительствам следует усилить меры защиты, регулярно обновлять программное обеспечение и проводить аудиты безопасности, чтобы минимизировать риски подобных атак.
